Компания ESET ― лидер в области информационной безопасности ― сообщает об обнаружении опасной активности группы Ebury, которая скомпрометировала сотни тысяч серверов, по крайней мере, за 15 лет. Среди деятельности злоумышленников и ботнета Ebury ― распространение спама, перенаправление веб-трафика и кража учетных данных. За последние годы также были зафиксированы случаи кражи данных банковских карт и криптовалюты.
В частности, Ebury было использовано в качестве бэкдора для компрометации почти 400 000 серверов Linux, FreeBSD и OpenBSD. Стоит отметить, что к концу 2023 года более 100 000 все еще были скомпрометированы. Во многих случаях злоумышленники Ebury могли получить полный доступ к большим серверам Интернет-провайдеров и известным хостинг-провайдерам.
Скомпрометированные серверы находятся почти во всех странах мира. Среди жертв этой группы киберпреступников – университеты, малые и крупные предприятия, Интернет-провайдеры, торговцы криптовалютой, узлы выхода Tor, провайдеры виртуального хостинга и выделенных серверов.
Какие вредоносные методы использовали злоумышленники?
Ebury, который активен по крайней мере с 2009 года, является бэкдором OpenSSH и инструментом для кражи учетных данных. Он используется для развертывания дополнительного вредоносного программного обеспечения с целью монетизации ботнета (например, модулей для перенаправления веб-трафика), распространения спама, выполнения атак «человек посередине», а также как хост для вредоносной инфраструктуры. В период с февраля 2022 года по май 2023 года специалисты ESET обнаружили более 200 целей в более чем 75 сетях в 34 странах.
«Мы обнаружили инциденты, когда инфраструктура хостинг-провайдеров была скомпрометирована группой Ebury. В этих случаях было зафиксировано развертывание Ebury на серверах, арендованных этими поставщиками. Это привело к компрометации тысячи серверов ботнетом Ebury одновременно, – комментирует Марк-Этьен М. Левей, исследователь ESET. – Ebury представляет серьезную угрозу для безопасности Linux. Хотя простого решения для обезвреживания Ebury нет, можно минимизировать его распространение и влияние».
Кроме того, злоумышленники использовали ботнет Ebury для похищения криптовалюты, учетных и банковских данных. Хакеры Ebury также использовали «0-дневные» уязвимости в программном обеспечении администратора, чтобы массово взломать серверы.
После взлома системы ряд деталей перехватывается злоумышленниками. Используя известные пароли и ключи, полученные в этой системе, аккаунты повторно используются для попыток входа в связанные системы.
Для уменьшения рисков заражения подобными угрозами специалисты ESET рекомендуют соблюдать основные правила кибербезопасности, в частности, создавать надежные пароли и использовать многофакторную аутентификацию, не переходить по неизвестным ссылкам в электронных письмах и своевременно обновлять программное обеспечение, а также установить решение для защиты устройств корпоративной сети от современных векторов атак.
Подробнее о деятельности Ebury читайте в полном отчете ESET.